New-AzureADMSRoleAssignment
이 문서에서는 New-AzureADMSRoleAssignment 명령에서 Microsoft Graph PowerShell로의 마이그레이션 세부 정보를 제공합니다.
요약
- Azure AD 명령: New-AzureADMSRoleAssignment
- Azure AD 모듈: AzureAD
- Microsoft Graph 명령: New-MgRoleManagementDirectoryRoleAssignment (커뮤니티 예제)
- 그래프 모듈: Microsoft.Graph.Identity.Governance
- 그래프 엔드포인트: POST /roleManagement/directory/roleAssignments
사용 권한
디렉터리(Microsoft Entra ID) 공급자의 경우
| 사용 권한 유형 | 권한(최소 권한부터 최대 권한까지) |
|---|---|
| 위임됨(회사 또는 학교 계정) | RoleManagement.ReadWrite.Directory |
| 위임됨 (개인 Microsoft 계정) | 지원 안 됨 |
| 애플리케이션 | RoleManagement.ReadWrite.Directory |
권한 관리 공급자의 경우
| 사용 권한 유형 | 권한(최소 권한부터 최대 권한까지) |
|---|---|
| 위임됨(회사 또는 학교 계정) | EntitlementManagement.ReadWrite.All |
| 위임됨 (개인 Microsoft 계정) | 지원 안 됨 |
| 애플리케이션 | EntitlementManagement.ReadWrite.All |
속성 매핑
| Azure AD 이름 | Microsoft Graph 이름 |
|---|---|
| DirectoryScopeId | DirectoryScopeId |
| PrincipalId | PrincipalId |
| RoleDefinitionId | RoleDefinitionId |
참고
unifiedRoleAssignment를 만들 때 다음 속성을 지정할 수 있습니다.
| 속성 | 형식 | Description |
|---|---|---|
| appScopeId | 문자열 | 필수 사항입니다. 할당 scope 앱별인 경우 앱별 scope 식별자입니다. 할당의 scope 보안 주체에 액세스 권한이 부여된 리소스 집합을 결정합니다. 앱 범위는 리소스 애플리케이션에서만 정의되고 이해되는 범위입니다. 권한 관리 공급자의 경우 이 속성을 사용하여 카탈로그(예 /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997: )를 지정합니다. appScopeId 또는 directoryScopeId를 지정해야 합니다. |
| directoryScopeId | 문자열 | 필수 사항입니다. 할당의 scope 나타내는 디렉터리 개체의 식별자입니다. 할당의 scope 보안 주체에 액세스 권한이 부여된 리소스 집합을 결정합니다. 디렉터리 범위는 리소스 애플리케이션에서만 정의되고 이해되는 앱 범위와 달리 여러 애플리케이션에서 이해하는 디렉터리에 저장된 공유 범위입니다. 디렉터리(Microsoft Entra ID) 공급자의 경우 이 속성은 다음 형식을 지원합니다. /테넌트 전체 scope/administrativeUnits/{administrativeunit-ID}관리 단위로 scope/{application-objectID}리소스 애플리케이션에 scope권한 관리 공급자의 / 경우 테넌트 전체 scope. 액세스 패키지 카탈로그에 scope appScopeId 속성을 사용합니다. appScopeId 또는 directoryScopeId를 지정해야 합니다. |
| principalId | 문자열 | 필수 사항입니다. 할당이 부여되는 보안 주체의 식별자입니다. |
| roleDefinitionId | 문자열 | 할당이 지정된 unifiedRoleDefinition의 식별자입니다. 읽기 전용입니다. (eq, in)를 지원합니다 $filter . |